神鋼不動産株式会社様(Hybrid SECURITY)
神鋼不動産株式会社
J-SOXへの対応要請にパッケージ導入とカスタマイズで柔軟に対応
会社概要
| 社名 | 神鋼不動産株式会社 |
|---|---|
| 創立 | 2005年 |
| 資本金 | 30億3700万円 |
| 売上高 | 369億2230万円(2008年3月) |
| 従業員数 | 230名(2008年4月) |
| 本社 | 兵庫県神戸市 |
職務分離への要請にアクセスログ収集で対応
神戸製鋼所グループでは、上場会社として内部統制(J-SOX)の対応を進めている。全社事務局が監査法人と協議、ガイドラインを作成し、各部門・各社がそれに沿う形で整備を進めてきている。神鋼不動産では、ガイドラインを踏まえ自社での対応を開始した。
神鋼不動産は、神戸製鋼グループにおいて総合不動産事業を担う企業である。1959年に創業され、その後、株式上場や神戸製鋼所との合併を経て、2005年に分社化され現在に至っている。現在は、子会社7社を有し、関西圏と首都圏を中心に不動産開発・分譲・賃貸・仲介およびリフォーム、ビルマネジメント、保険代理業などを展開中である。2009年には、社会的な話題ともなった神戸一の高さを誇る地上41階建て総292戸の分譲マンション「ジークレフ新神戸タワー」がJR・新神戸駅前に完成する予定だ。
システム化では、1980年代にシステム/38を導入して以来のIBMミッドレンジ・ユーザーで、財務会計と給与計算に「iSeries Site」を導入したほかは全てRPGで自社開発してきた。その開発と運用・保守は子会社の神鋼不動産エキスパートサービスが担うが、神鋼不動産エキスパートサービスではこのほか、神鋼不動産グループ各社のシステムも正社員5名・外部要員4名という少数精鋭の体制で切り回している。
内部統制対応は、IT面(IT全般統制)が先行するかたちになった。当初、監査法人から要求されたのは、(1)開発者と運用者が組織上・システム上分離されていること、(2)本番環境へのアクセスログが収集されていること、の2点であったが、(1)を実現するにあたって「開発と運用を分けるには要員増が避けられない。しかし、得られる統制効果に対して費用的なインパクトが大きすぎるので職務分離はできない」(総務部 総務担当部長の松原幸二氏)と判断し、神鋼不動産エキスパートサービスと協同で代替策を検討することとした。
監査法人から提示された代替策は、(1)不正アクセスの追跡、(2)不正プログラムの本番登録と本番データの不正改ざんの追跡、(3)特権IDの不正使用の追跡、を可能とするシステムであった。要するに、ログの収集と分析によってさまざまな不正を捕捉し、追跡できるようにする、というものである。幸い、同社ではそれまで、特権IDの配布はシステム担当の正社員4名に限定し、端末は1人1台に割り当て、BIOSパスワードやWindowsログオンパスワード、端末管理番号を設定してきたので、「ログ収集・分析ツールさえあれば対応は可能ではないか」(松原氏)との結論に達した。
そこでツールの選定へ移ったが、検討の俎上に載せられたのは、IBM i対応の3製品であった。そして、資料での情報収集や機能などの検討を重ね、各ツールの振る舞いやパフォーマンスを実際のデモで確認した結果、ヴィンキュラムジャパンの「Hybrid Security」を選択した。
そこでツールの選定へ移ったが、検討の俎上に載せられたのは、IBM i対応の3製品であった。そして、資料での情報収集や機能などの検討を重ね、各ツールの振る舞いやパフォーマンスを実際のデモで確認した結果、ヴィンキュラムジャパンの「Hybrid Security」を選択した。
カットオーバー直前に新たな要請、カスタマイズへ
2008年初めに監査担当部門から代替策の提示を受け、同年6月にツールの選定を行い、そして9月に予定通り、Hybrid Securityの導入が完了となる直前に、監査法人からプラスアルファの要請が出た。ログを取るだけでは不十分で、収集した本番環境へのアクセスログと、そのアクセス内容を明記した「システム計画書」または「システム化依頼書」との突き合わせまで行わないと職務分離の代替にはならない、という理由からである。
しかし、ログとシステム計画書とを事後に手作業で突き合わせるのは膨大な作業量である。当然、要員の増加が必要になる。そこで同社はヴィンキュラムジャパンに相談し、その代替手段として、本番環境にアクセスする作業の内容を作業直前に担当者に登録させ、その登録情報とログとを自動的に紐付けるシステム(特権IDアクティビティ管理システム)をHybrid Securityのカスタマイズで構築することにした。
作業者は、最初に「特権IDアクティビティ管理システム」を立ち上げて登録作業を行い、続けて本番環境にアクセスする作業へ移るという手順である。管理者は定期的に突き合わせ作業を行う。同システムではその突き合わせ作業を容易にするため、消し込み用画面なども用意されている。
今回のHybrid Security導入ではこのほか、端末番号からアクセスログを検索できるようにする作り込みなどを行ったが、カスタマイズやサポート要請に対するヴィンキュラムジャパンの対応を同社では高く評価している。
「特権IDアクティビティ管理システムは2008年10月に相談したにもかかわらず、12月下旬に納品いただくというスピーディな対応でした。電話サポートやオンサイトでのフォローも柔軟で、自社開発パッケージならではの対応と非常に満足しています」(松原氏)
神戸製鋼グループのルールで、グループ各社の内部統制システムに対する監査は「整備評価」「運用評価」「期末評価」のいずれも内部監査(神戸製鋼所監査部・IT企画部)と外部監査(監査法人)の2カ所から受けることになっているが、神鋼不動産では既に整備評価と運用評価を終えている。残るは期末評価だけだが、「最終の詰めは残っているが、課題をクリアできそうだ」と松原氏は語る。特権IDアクティビティ管理システムは現在、2009年度本番に向けて試行中である。
本記事は、i Magazine 9号に掲載されたものです
(C)2009 アイマガジン株式会社 www.imagazine.co.jp